Всем привет!
На связи снова Solar appSrceneer с хорошими новостями. 27 мая мы узнали, что наш ИИ-плагин победил в номинации «Технология кода». Премия «AI-Олимп» посвящена передовым достижениям в области искусственного интеллекта, объединяет ведущие компании, инновационные стартапы, исследовательские центры и экспертов, которые формируют будущее ИИ.
Мы благодарим за высокую оценку нашего продукта всех членов жюри, в состав которого вошли титаны эксперты по ИИ, IT и разработке государственной корпорации «Ростехнологии», компаний McKinsey, VK, ассоциации «Руссофт» и других организаций.
Для всей нашей команды статус «Технология года» — это важный знак признания со стороны профессионального сообщества. ИИ-плагин не родился из морской пены, как богиня Афродита, хотя вполне может сразиться за яблоко титул «Прекраснейшей».
ИИ-плагин стал результатом семилетнего проекта технологического партнера по обучению большой языковой модели на базе десятков тысяч реальных российских и международных проектов. Он может быть развернут в закрытом контуре, работает без доступа в интернет, что минимизирует риски утечек данных во внешние сервисы, платформы для обмена кодом и неожиданную диверсию со стороны ИИ-троянских коней.
Если вспомнить миф про Артемиду и Аполлона, то они символизируют две стороны одного целого – светлое, рациональное начало (безопасную разработку) и первозданную, дикую природу (уязвимости). Они дополняли и усиливали лучшие качества другу друга, и таким же образом в ИИ-плагине две технологии усиливают эффективность процессов AppSec.
Интеллектуальный триаж SAST-результатов DerTriage использует «сырые» результаты сканирования, автоматически разбирает каждую уязвимость по контексту и выдает список только реальных угроз с пояснением для разработчиков, почему та или иная уязвимость требует исправления. Точность автоматической верификации уязвимостей составляет 95%. Плагин также настраивается под требования разработчика ПО, позволяет применять логику верификации ко всем обнаруженным уязвимостям или только к высокоприоритетным рискам. Таким образом, Solar appScreener сокращает число ложных срабатываний при SAST-анализе и в сотни раз ускоряет устранение уязвимостей, поддерживая производительность команды разработки без ущерба для безопасности софтверного продукта.
ИИ-технология автоматического исправления уязвимостей DerCodeFix предоставляет готовые сгенерированные исправления, контекстные патчи кода для подтвержденных уязвимостей. Исправления создаются в соответствии с принятыми стандартами кодирования, что обеспечивает читабельность, производительность кода и решает проблемы безопасности. Каждое исправление содержит подробное объяснение того, что и почему было изменено. Разработчик может быть уверен в корректной проверке кода и получает дополнительный источник данных для обучения.
Как показали данные исследования шести больших языковых моделей на десятках проектах, созданных на языках Java и Python, модель DerTriage/DerCodeFix демонстрирует более 90% точности на этапе верификации (триаж) и до 85% на этапе исправления уязвимостей (кодфикс). При этом публичные LLM, которые часто используются для этапов триажа и кодфикса, пропускают от 40 до 50% уязвимостей. Охота на уязвимости с со стрелами Артемиды возможностями ИИ-плагина определенно будет успешной.
«Результаты сканирований обрабатываются за несколько минут даже для проектов с миллионами строк кода, а не недель, как это было ранее. Соответственно ускоряется и выпуск любого программного продукта, при этом сохраняется высокий уровень безопасности разрабатываемого ПО», − подчеркивает Владимир Высоцкий, руководитель развития бизнеса платформы комплексной безопасности приложений Solar appScreener.
Solar appScreener поддерживает необходимые стандарты по обеспечению кибербезопасности от олимпийского громовержца от регуляторов рынка, включая ГОСТ Р 56939-2016, ГОСТ Р 56939-2024, приказ ФСТЭК №239 и входит в Реестр российского ПО Минцифры России.
ссылка на оригинал статьи https://habr.com/ru/articles/1040486/